Protéger les données des patients des systèmes d’IA conformément au nouveau code de pratique – Un guide pour les organisations de santé au Royaume-Uni

Le secteur de la santé au Royaume-Uni se trouve à un moment crucial de sa transformation numérique. Alors que l’intelligence artificielle révolutionne la prestation des soins de santé, de l’aide au diagnostic à la gestion des soins aux patients, les organisations de santé doivent relever le défi complexe de protéger les données sensibles des patients tout en exploitant le potentiel de l’IA pour améliorer les résultats des soins. Le nouveau Code de pratique pour la cybersécurité de l’IA du gouvernement britannique arrive à un moment crucial, fournissant des conseils essentiels aux organisations de santé naviguant dans ce paysage complexe.

L’adoption généralisée des technologies d’IA dans le système de santé britannique offre des opportunités sans précédent pour améliorer les soins aux patients, mais introduit également de nouveaux risques pour la sécurité et la confidentialité des données des patients. Le nouveau Code de pratique établit des exigences cruciales pour protéger ces systèmes d’IA et les données sensibles des patients qu’ils traitent.

Risques de l’IA dans le secteur de la santé

L’introduction des technologies d’intelligence artificielle dans le secteur de la santé apporte un ensemble distinct de défis qui nécessitent une attention particulière dans le cadre du Code de pratique nouvellement établi. Le principal défi est de garantir la confidentialité des patients, car les systèmes d’IA reposent souvent sur de grands ensembles de données pouvant contenir des informations personnelles non publiques sensibles (NPI), y compris des informations personnelles ou médicales protégées. Maintenir la confidentialité et la sécurité de ces données est essentiel pour protéger les droits des patients et se conformer aux réglementations en matière de protection des données telles que la loi sur la protection des données de 2018.

Il existe d’autres risques qui ne relèvent pas du cadre de cet article. Ils incluent la précision et la fiabilité des outils basés sur l’IA, l’intégration de l’IA avec les systèmes de santé existants, les considérations éthiques concernant les processus décisionnels des systèmes d’IA et leur impact sur les résultats des patients, la transparence dans la manière dont les algorithmes d’IA prennent des décisions, et plus encore.

Le nouveau Code de pratique vise à relever ces défis en établissant des normes et des lignes directrices pour le déploiement responsable des technologies d’IA dans le secteur de la santé. Il souligne l’importance de prioriser le bien-être des patients, de protéger la confidentialité des données et de promouvoir la transparence et la responsabilité dans l’utilisation des systèmes d’IA.

Les organisations de santé doivent comprendre ces risques pour mettre en œuvre des mesures de protection efficaces tout en maintenant la qualité et l’efficacité des soins aux patients.

Dossiers de santé électroniques et systèmes cliniques

L’utilisation de l’IA dans les systèmes de dossiers de santé électroniques (DSE) représente l’un des domaines les plus sensibles nécessitant une protection en vertu du Code de pratique. Les organisations de santé doivent protéger les dossiers des patients tout en maintenant l’accessibilité nécessaire à une prestation efficace des soins. Cet équilibre délicat nécessite des mesures de sécurité sophistiquées qui protègent contre l’accès non autorisé à l’IA sans compromettre les opérations cliniques.

Les prestataires de soins de santé doivent protéger les données des patients tout en s’assurant que les systèmes d’IA peuvent efficacement soutenir la prise de décision clinique. Le Code de pratique fournit des conseils cruciaux pour atteindre cet équilibre sans compromettre la qualité des soins.

Systèmes d’aide à la décision clinique

La protection des systèmes d’aide à la décision clinique alimentés par l’IA présente un autre défi critique dans le cadre du Code. À mesure que ces systèmes influencent de plus en plus les décisions de soins aux patients, les organisations de santé doivent mettre en œuvre des mesures de sécurité robustes qui protègent à la fois les modèles d’IA et les données des patients qu’ils traitent.

Le Code de pratique introduit des exigences essentielles pour protéger les systèmes de support clinique activés par l’IA. Les prestataires de soins de santé doivent désormais démontrer que leurs implémentations d’IA incluent des contrôles sophistiqués qui empêchent l’accès non autorisé tout en maintenant l’efficacité clinique.

Données de recherche et développement

La protection des données de recherche médicale nécessite une attention particulière dans le cadre du nouveau Code. Les organisations de santé doivent mettre en œuvre des mesures de sécurité complètes qui protègent les données de recherche précieuses contre l’accès non autorisé à l’IA tout en permettant des activités légitimes de recherche et développement alimentées par l’IA. Cela implique la mise en œuvre de technologies de chiffrement avancées, l’établissement de contrôles d’accès stricts et l’audit régulier des systèmes pour détecter et répondre aux violations potentielles.

Avec l’intégration croissante de l’intelligence artificielle dans le domaine médical, il y a une couche supplémentaire de complexité dans la protection des données. Les organisations doivent trouver un équilibre délicat entre la protection des données de recherche contre les interventions non autorisées de l’IA et la promotion de l’utilisation des outils d’IA qui peuvent accélérer l’innovation en recherche et développement. Cela implique de créer des lignes directrices claires sur l’utilisation de l’IA, de mener des évaluations de risques approfondies et de favoriser un environnement où l’IA peut être exploitée de manière responsable pour améliorer les résultats des soins de santé. Ce faisant, les entités de santé peuvent protéger leurs actifs de recherche tout en s’assurant que les technologies d’IA contribuent positivement à l’avancement de la science médicale.

S’aligner sur le nouveau Code de pratique

Le Code impose une approche sophistiquée de l’évaluation des risques qui va au-delà des évaluations traditionnelles de la sécurité dans le secteur de la santé. Les organisations de santé doivent désormais prendre en compte non seulement les risques de sécurité directs, mais aussi les vulnérabilités potentielles introduites par l’interaction des systèmes d’IA avec les données des patients et les systèmes cliniques.

Ce processus d’évaluation exige que les organisations évaluent :

La portée et la nature de la mise en œuvre de l’IA dans les opérations cliniques, des soins aux patients aux processus administratifs. Comprendre ces interactions aide les organisations à identifier les vulnérabilités potentielles et à mettre en œuvre des mesures de protection appropriées tout en maintenant la qualité des soins.

Les organisations de santé doivent soigneusement équilibrer les contrôles de sécurité avec l’accessibilité clinique. Les exigences d’évaluation des risques du Code aident les organisations à identifier et à traiter les vulnérabilités spécifiques à l’IA sans compromettre les soins aux patients.

Exigences de mise en œuvre technique

Le Code fournit des conseils spécifiques pour la mise en œuvre des mesures de sécurité dans les environnements de santé. Les organisations doivent développer des cadres de sécurité complets qui protègent les données sensibles des patients tout en maintenant l’efficacité clinique. Cela inclut :

Des systèmes de contrôle d’accès sophistiqués capables de gérer les autorisations des systèmes d’IA tout en maintenant des normes de sécurité strictes. Ces systèmes doivent être capables de gérer des flux de travail cliniques complexes tout en empêchant l’accès non autorisé aux informations sensibles des patients.

Des capacités de surveillance avancées capables de détecter les incidents de sécurité potentiels sans impacter les opérations cliniques. Les organisations de santé doivent être capables de suivre le comportement des systèmes d’IA tout en maintenant la réactivité requise pour la prestation moderne des soins de santé.

Exigences de formation et de sensibilisation

Le Code de pratique met l’accent sur la formation spécialisée du personnel de santé, allant au-delà de la sensibilisation traditionnelle à la sécurité pour se concentrer spécifiquement sur les risques liés à l’IA et les mesures de protection. Les exigences de formation peuvent être divisées en deux sections : le développement du personnel clinique et les opérations.

Développement du personnel clinique

Les organisations de santé doivent développer des programmes de formation complets qui abordent les défis uniques de la protection des systèmes d’IA et des données des patients. Ces programmes devraient couvrir à la fois les mesures de sécurité technique et les considérations opérationnelles cliniques.

Le personnel de santé doit comprendre à la fois le potentiel et les risques des systèmes d’IA dans les environnements cliniques. Cette compréhension est cruciale pour maintenir la sécurité tout en exploitant l’IA pour améliorer les soins aux patients.

Intégration opérationnelle

Les programmes de formation doivent être intégrés dans les flux de travail cliniques, garantissant que la sensibilisation à la sécurité devienne une partie de la culture organisationnelle. Cela inclut des mises à jour régulières et des cours de recyclage qui abordent les menaces émergentes et les nouvelles exigences de protection en vertu du Code. L’intention est de faire de la sensibilisation à la sécurité un aspect fondamental de la culture de l’organisation. Cela implique de mettre en œuvre des mises à jour régulières et des cours de recyclage pour tenir le personnel informé des dernières menaces et de la manière de les contrer.

De plus, ces programmes devraient couvrir les nouvelles exigences de protection telles que décrites dans le Code pertinent, garantissant la conformité et améliorant la posture de sécurité globale de l’organisation. En éduquant continuellement les employés sur les risques émergents et les normes évolutives, l’organisation peut mieux protéger les informations sensibles et maintenir la confiance des patients et des parties prenantes.

Planification de la réponse aux incidents et de la récupération

Le Code impose des capacités sophistiquées de réponse aux incidents spécifiquement conçues pour les événements de sécurité liés à l’IA dans les environnements de santé. Les organisations doivent développer des plans complets qui abordent à la fois la prévention et la récupération tout en garantissant la continuité des soins aux patients.

Développement du cadre de réponse

Les organisations doivent établir des procédures claires pour identifier et répondre aux incidents de sécurité liés à l’IA tout en maintenant les opérations cliniques critiques. Ces procédures devraient inclure :

Des protocoles de réponse immédiate pouvant être activés sans perturber les soins aux patients. Le cadre de réponse doit équilibrer les exigences de sécurité avec la nécessité de maintenir les services de santé essentiels.

Des procédures d’escalade qui garantissent que les parties prenantes appropriées sont impliquées dans la gestion des incidents, y compris la direction clinique et les autorités réglementaires lorsque cela est nécessaire.

Surveillance et amélioration continue

Le Code souligne l’importance d’évaluer et d’améliorer continuellement les systèmes en place au sein des organisations de santé. Il insiste sur le fait que les organisations devraient adopter des systèmes de surveillance avancés capables de fournir des aperçus en temps réel sur le fonctionnement des applications d’intelligence artificielle. Ces systèmes sont cruciaux pour garantir que l’IA fonctionne comme prévu et reste sécurisée contre les menaces potentielles. En facilitant une surveillance continue, ces outils de surveillance aident les prestataires de soins de santé à identifier et à résoudre rapidement les problèmes, maintenant ainsi l’intégrité et la fiabilité des systèmes d’IA. De plus, l’accent n’est pas seulement mis sur la sécurité des systèmes, mais aussi sur l’amélioration de la qualité des soins aux patients. La visibilité en temps réel sur les opérations de l’IA permet aux professionnels de la santé d’utiliser des aperçus basés sur les données pour prendre des décisions éclairées, ce qui conduit finalement à de meilleurs résultats pour les patients. L’amélioration continue est encouragée, garantissant que les systèmes d’IA évoluent au fil du temps pour répondre aux demandes et défis changeants du secteur de la santé. Cette approche proactive aide les organisations à rester adaptables et résilientes, maintenant des normes élevées de soins et de sécurité.

Prochaines étapes

Le nouveau Code de pratique du Royaume-Uni représente un développement crucial dans la protection des données de santé contre l’accès non autorisé à l’IA. Les organisations de santé doivent prendre des mesures décisives pour mettre en œuvre des mesures de sécurité conformes tout en maintenant des opérations cliniques efficaces et des soins de haute qualité aux patients. Les étapes essentielles incluent :

Actions immédiates

Les organisations de santé devraient commencer par mener des évaluations approfondies de leurs implémentations actuelles de l’IA et des mesures de sécurité. Cette évaluation devrait prendre en compte à la fois les exigences techniques et les impacts sur les opérations cliniques.

Planification stratégique

Les organisations doivent développer des stratégies de mise en œuvre complètes qui répondent à la fois aux exigences de conformité immédiates et aux objectifs de sécurité à long terme. Ces stratégies devraient inclure des calendriers clairs et des plans d’allocation des ressources qui tiennent compte des exigences des flux de travail cliniques.

Gestion continue

La mise en œuvre réussie nécessite une surveillance continue et un ajustement des mesures de sécurité. Les organisations de santé devraient établir des processus clairs pour la gestion continue et l’amélioration de leurs programmes de sécurité tout en maintenant l’accent sur la qualité des soins aux patients.

Mise en œuvre de la passerelle de données IA de Kiteworks

Les organisations de santé peuvent accélérer leur conformité avec le Code de pratique en utilisant la passerelle de données IA de Kiteworks. Cette solution complète répond aux exigences clés du secteur de la santé grâce à :

• Accès aux données IA en Zero-Trust : La plateforme met en œuvre des principes rigoureux de zero-trust spécifiquement conçus pour les interactions de l’IA avec les données des patients. Cela s’aligne directement sur les exigences du Code pour des contrôles d’accès stricts et une vérification continue dans les environnements cliniques.
• Récupération de données conforme : Grâce à une génération augmentée par récupération sécurisée (RAG), les organisations de santé peuvent améliorer en toute sécurité les performances des modèles d’IA tout en maintenant un contrôle strict sur l’accès aux données sensibles des patients. Cette capacité est particulièrement cruciale pour les organisations équilibrant l’innovation en IA avec les exigences de confidentialité des patients.
• Gouvernance et conformité renforcées : Le cadre de gouvernance robuste de la plateforme aide les organisations de santé à :
• Appliquer des politiques strictes de gouvernance des données dans les implémentations cliniques de l’IA
• Maintenir des journaux d’audit détaillés de toutes les interactions de l’IA avec les données des patients
• Assurer la conformité avec le Code de pratique et les réglementations de santé
• Surveiller et rendre compte des modèles d’accès aux données de l’IA dans les environnements cliniques
• Protection en temps réel : Le chiffrement complet et le suivi en temps réel des accès fournissent la surveillance continue et la protection requises par le Code, permettant aux organisations de santé de :
• Protéger les données sensibles des patients tout au long de leur cycle de vie
• Suivre et contrôler l’accès des systèmes d’IA aux informations cliniques
• Répondre rapidement aux incidents de sécurité potentiels
• Maintenir une documentation de conformité détaillée pour les exigences réglementaires

Grâce à ces capacités, Kiteworks aide les organisations de santé à atteindre l’équilibre délicat entre l’innovation en IA et le maintien des normes strictes de protection des données requises par le Code de pratique tout en assurant des soins aux patients continus et de haute qualité.

Avec le Réseau de contenu privé de Kiteworks, les organisations protègent leur contenu sensible des risques liés à l’IA avec une approche zero trust pour l’IA générative. La passerelle de données IA de Kiteworks offre une solution transparente pour un accès sécurisé aux données et une gouvernance efficace des données afin de minimiser les risques de violation de données et de prouver la conformité réglementaire. Kiteworks fournit des contrôles zero trust définis par le contenu, avec un accès au moindre privilège défini au niveau du contenu et des capacités de GDN de nouvelle génération qui bloquent les téléchargements de l’ingestion par l’IA.

Avec un accent sur l’accès sécurisé aux données et une gouvernance stricte, Kiteworks vous permet de tirer parti des technologies d’IA tout en maintenant l’intégrité et la confidentialité de vos actifs de données.

Pour en savoir plus sur Kiteworks et protéger vos données sensibles de l’ingestion par l’IA, réservez une démo personnalisée dès aujourd’hui.

Ressources supplémentaires

• Article de blog Kiteworks : Renforcer les avancées de l’IA avec la sécurité des données
• Communiqué de presse Kiteworks nommé membre fondateur du consortium de l’Institut de sécurité de l’intelligence artificielle du NIST
• Article de blog Ordre exécutif américain sur l’intelligence artificielle : Exiger un développement sûr, sécurisé et digne de confiance
• Article de blog Une approche globale pour améliorer la sécurité et la confidentialité des données dans les systèmes d’IA
• Article de blog Construire la confiance dans l’IA générative avec une approche Zero Trust